LINUX.ORG.RU

Что должен знать специалист ИБ на старте

 


3

3

Здравствуй, ЛОР. Собственно, вопрос в топике. Хотелось бы узнать и для атакующей (пентест), и для защищающей стороны.

Если я хочу стать специалистом с нуля, с чего мне начинать?

П.с ВУЗ не предлагать, так как в планах есть, однако хотелось бы прийти туда, уже зная на что делать упор и параллельно учиться.

Ответ на: комментарий от anonymous

В РФ очень плохое в ИТ наследство. К большому сожалению ИТ специалисты и молекулярные биологи в СССР подвергались репрессиям и геноциду от государства!

ЗОГ не дремлит, ЗОГ не спит, берегись антисемит!

Обычная межстрановая конкуренция под соусом борьбы с ведьмами.

anonymous
()
Ответ на: комментарий от targitaj

Это реализация идеи сегментирования ЧЕЛОВЕЧЕСКОГО ресурса.

И водителя автобуса надо сегментировать, сделать трёх, один рулит, второй на газ нажимает, третий на тормоз. А то мало ли кто у одного водителя от семьи будет что-то отрезать. ИБ это не люди, ИБ это организационные и технические меры, принцип Парето тут конечно действует. А ещё можно очень хорошо зарабатывать на ИБ, вон как все докером обмазались, изоляция, контейнеры, а на деле куча решений по построение процессов ИБ вокруг этих докеров и шустрые ребята мутят нормально лавэху.

hoggor
()
Ответ на: комментарий от DAGAZ

Не показано формально что мы в нее где-то упирается. То что тот же rsa не поломан на первый взгляд ещё ничего не говорит о том что это действительно так.

anonymous
()
Ответ на: комментарий от DAGAZ

Ещё один ничего не понял. Не реализацию rsa пилить надо, а исследовать сам алгоритм rsa, если хочется реальной безопасностью заниматься, а не выступать в цирке.

anonymous
()
Ответ на: комментарий от targitaj

Тайна про которую знают 2 человека уже не тайна. В идеале о ней вообще ни один знать не должен.

anonymous
()
Ответ на: комментарий от anonymous

Не показано формально что мы в нее где-то упирается.

Может мы вообще ни во что не упираемся? )) Во что, собственно, можно упираться, когда имеем открытый ключ? ))

То что тот же rsa не поломан на первый взгляд ещё ничего не говорит о том что это действительно так.

Система Эль–Гамаля считается устаревшей из-за того, что, все вычисления, которые выполняются в ней, производятся по модулю числа p или по модулю числа n. Эти мультипликативные группы хорошо изучены, и с ними можно эффективно работать. Одной из самых больших потенциальных атак на любую криптосистему на эллиптических кривых является сведение её к изоморфной системе типа Эль–Гамаля.

so, «На первый взгляд» звучит так, буд-то до этого нет никому ни дела ни времени, а вот как найдут - так сразу криптостойкость падёт. - я считаю, что это манипуляция настроением.

С удовольствием бы почитал об академическом исследование rsa/el-gamal с ферм-ресурсом под жёпкой; /возможно ты встречал/

Надо же на что-то опираться, заземлять космос - иначе только бла-бла-бла. По отношению к Эль-Гамалю rsa ванилен, но криптостоек. Как и Эль-Гамаль, который «устарел, потому что хорошо изучен». Дык и отлично, изучайте, открытый алгоритм же ))

Вообще, это всё очень интересно, и спасибо за это.

ps.ТЫ НЕ ПРОЙДЁШЬ %))) .

DAGAZ
()
Ответ на: комментарий от anonymous

Реальная безопасность. Звучит здорово. %)))

исследовать

Вообще, полёт мысли правильный. Другое дело, как оно в быту. Пушто, сидя себе тихо-мирно реальную безопасность исследуя - будь готов по первому кругу автостопом проехаться. Если ты понимаешь, о чём я.

DAGAZ
()
Последнее исправление: DAGAZ (всего исправлений: 2)

да ни хуя не надо, берешь сканер отсканил. Он тебе автоматом отчет. Вот и все ИБ. Наслаждайся.

anonymous
()

Должен знать все Если ты что-то не знаешь, то ты не специалист ИБ

anonymous
()
Ответ на: комментарий от anonymous

В РФ очень плохое в ИТ наследство. К большому сожалению ИТ специалисты и молекулярные биологи в СССР подвергались репрессиям и геноциду от государства!

всех программистов расстреляли в 1938. в 1939 не было ни одного

anonymous
()

Если я хочу стать специалистом с нуля, с чего мне начинать?

1) Кевин Митник, Что найдешь - то читай.

2) Брюс Шнайер. Аналогично

3) Таненбаум.

Хотелось бы узнать и для атакующей (пентест), и для защищающей стороны.

Слишком обширный вопрос. Если для пентестера еще более-мнее можно придумать, что как (по сути, нужно знание инструментов и методологии, ну и знание программирования в какой-то мере), то для blue-team вопрос слишком обширный, т.к. она включает в себя кучу народа от админов и программистов до CISO. Знания и навыки им требуются немножко разные :)

PS тред не читал.

CaveRat ★★
()
Ответ на: комментарий от anonymous

ИБ это дно, на мой взгляд, но деньги за труд будут существенные платить, особенно если учитывать затраты на этот самый труд. Собственно, так в любом Б в РФ, в 99% случаев.

С чего бы вдруг? Или ты из тех, кто так и не вышел из консоли Континента/випнета?

CaveRat ★★
()
Ответ на: комментарий от targitaj

Адекватный комментарий в треде про ИБ? Внезапно, чо

CaveRat ★★
()
Ответ на: комментарий от anonymous

ИБ - это все-таки таки про технику, а не только инструкции.

ИБ - это только в некотором смысле про технику. ИБ в изначальном виде - это про управление рисками и compliance. Техника - это только реализация требований. Важная часть, но не основа.

CaveRat ★★
()
Ответ на: комментарий от Riniko

Давайте не будет путать Information Security и Cyber Security. В связи с большим проникновение ИТ во все сферы это стали считать синонимами, но это не так.

CaveRat ★★
()
Ответ на: комментарий от DAGAZ

Одно является подмножеством другого. Как только из процесса исчезает ИТ - Cyber Security превращается в Information Security.

Как пример - бумажный документооборот.

CaveRat ★★
()
Ответ на: комментарий от anonymous

В РФ очень плохое в ИТ наследство. К большому сожалению ИТ специалисты и молекулярные биологи в СССР подвергались репрессиям и геноциду от государства!

всех программистов расстреляли в 1938. в 1939 не было ни одного

Не в 30-тых годах, а уже после 60-тых! В 20-30-тых годах, истребляли предпринемательский класс. И только в 60-тых добралось до ИТ-спецталистов и молекулярных биология, в СССР их истребляли как средневековая инквизиция истребляла астрономов, которые говорили что Земля шар и вертится вокруг Солнца.

anonymous
()
Ответ на: комментарий от DAGAZ

разрабатывать сигнатуры и защитные методы;
разрабатывать и улучшать инструментарий.

Что должен знать специалист ИБ на старте (комментарий)

Уже обсудили, Путин с «Единой Росией», нарушая 44 статью Конституции РФ всех кто занимается:

4) разработка и производство средств защиты конфиденциальной информации;

5) деятельность по технической защите конфиденциальной информации;

Карает:

принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет

Так что формулировки в ваканции стоит изменить!

anonymous
()

это человек, который занимается анализом информационных рисков компании
с чего мне начинать

для такого ты должен быть как минимум родственником генерального...

amd_amd ★★★★★
()
Ответ на: комментарий от anonymous

Посмеялся. Безопасник доверяющий себе, а тем более «руководству», это что-то новенькое.

Не безопасник, а админ. Безопасности пару раз предлагали но не договорились.

Причем здесь психологический фактор - «доверие» к мат модели дающей определенные гарантии безопасности? Не веришь мат модели? Хорошо, бумагу и ручку в руки, проверяй.

anonymous
()
Ответ на: комментарий от Riniko

Выскажу очень непопулярное мнение, но надо знать математику.

Зачем?

Чтобы создать мат модели дающие гарантии безопасности.

Хороший пример работы математиков в ИТ безопасности (не шиырование): https://sel4.systems/

anonymous
()
Ответ на: комментарий от Riniko

Продаю проксю для фильтрации HTTPS без подмены корневых сертификатов!

Потому как есть открытые алгоритмы шифрования. Работает и ладно, если не понятно - прочитал man.

Роскомнадзор начал монтаж оборудования для изоляции рунета (комментарий)

И какой толк от манов и открытых алгоритмов, для тех кто не знает математики? В TCP + SSL/TLS + HTTPS согласно законодательству США, запрещающего экспорт сильных алгоритмов шифрования, умышленно заложена уязвимость!!!

anonymous
()

Как человек, работающий пару лет в этой сфере, скажу тебе так: ХЗ что такое ИБ и что должен знать специалист.

Абсолютно серьёзно.

anonymous
()
Ответ на: комментарий от Riniko

Насчёт уже ограничений доступа к сети, к правам. Это может как сисадмин выполнять, так и другое лицо, из отдела СБ.

Лицо с СБ не имеет прав выделять доступ к сетевым ресурсам, админить сервера и сетевое оборудование. И знаний это сделать тоже. ;)

Потому как в крупных фирмах в составе СБ есть и сами СБ-ники, которые занимаются именно физической безопасностью, так и те, кто занимается информационной.

Да, в крупных фирмах именно так. Есть вообще разные отделы: отдел информационных технологий (с двумя подразделениями: админов и програмистов) и отдел внутренней безопасности (со своими подразделениями в число которых входит ИТ безопасность). Эти отделы не пересекаются нигде. ИБ может следить за использованием некой внешней крыптографии и обновлением антивирусных баз и это наверно все его «ИТ».

anonymous
()
Ответ на: комментарий от targitaj

Человека сломать проще и следов меньше. Вот этого понимания вообще не наблюдается. Просто не наблюдается.

Если мат модель дает гарантии то ее соблюдение как раз и исключает человеческий фактор.

Твоя задача - чтобы эта часть была бессмыслицей (без всего остального) и чтобы ублюдка можно было вычислить на счёт «раз».

Под этой фразой готов подписаться.

anonymous
()

Всё зависит от мотивации. Всё начинается с любв... неё.

Одно дело просто нишку занять, а другое если от темки реально штырит.

Если первое, то нужны знания соответствующих бумаг, номенклатуры, правил, допусков и т.д.

Deleted
()
Ответ на: комментарий от anonymous

В РФ очень плохое в ИТ наследство. К большому сожалению ИТ специалисты и молекулярные биологи в СССР подвергались репрессиям и геноциду от государства!

Обычная межстрановая конкуренция под соусом борьбы с ведьмами.

Ты вообще не в теме. ИТ специалисты и молекулярные биологи после 60-тых годов в СССР считались вредными государственному строю, лже науками. Выжили только те кто сбежал на запад.

Проблема была не в конкуренции между странами. Проблема была в том что одни не утруждались простыми и доступными объяснениями нужности этого раздела науки, а другие не смогли понять объяснения или почувствовали угрозу своей личной нужности в будущем при развитии этих наук.

anonymous
()

C чего мне начинать?

Льюис Кэрролл. «Алиса в стране чудес»:

-Начни с начала, — важно ответил Король, — продолжай, пока не дойдешь до конца.

anonymous
()
Ответ на: комментарий от hoggor

И водителя автобуса надо сегментировать, сделать трёх, один рулит, второй на газ нажимает, третий на тормоз.

Специально для водителей автобусов умные люди придумали правила дорожного движения. И инспекторов ГАИ (ГИБДД).

anonymous
()
Ответ на: комментарий от KrasnoGlazik

А чем занимаешься, если не секрет?

Пизди́т на этом форуме...

anonymous
()

Если я хочу стать специалистом с нуля, с чего мне начинать?

Можешь сгонять на этот сайт: https://www.securitylab.ru. Я на нём новости читаю. В качесте примера эксперта по ИБ можешь почитать про Адриана Ламо...

anonymous
()
Ответ на: комментарий от KrasnoGlazik

В должностные обязанности входит планирование стратегии безопасности (исходим из требований стандартов, инвесторов, и common sense), и следовательно, разработка политик безопасности и процедур.

Это самая нудная часть. Скукотища. Слава богу, я больше занимаюсь прикладной безопасностью, и имею дело с выжимкой документов, которые проходят через юристов и в тесном общении с cso и архитектором.

Еще периодические сканирования инфраструктуры, внутренний аудит, исследования. Последнее оч изредка, бо корпоративщина такая корпоративщина.

Ревью сурс-кода (в основном при изменениях сензитивных к безопасности механизмов). Из этого же следует разработка стандартов кодирования, бест практис, етц, и проведение тренингов с разработчиками. Последнее — скучная до невозможности хрень. Но совершенно необходимая. Лечится хорошим контактом с разработчиками, коммуникацией, чтоб снизить ауру официозности. Она всем претит, и больше всего мне.

Помощь админам/девопсам в конфигурации систем в части апдейтов, шифрования, файрволов, anti-{malware,rootkit,etc}, и в целом.

Из неприятного — аудит на бест-практис рабочих машин работников. Такая хрень, что не описать в двух словах. Вроде нужно, а в реальности всё это вываливается в какой-то бесполезный цирк. Тупо чтобы поставить галку в отчётах.

Ну и написание и мэйнтенинг софта по безопасности: всяких чекеров, инспеков, сплойтов (или адаптация существующих). В мэйнтейнинг входит как поддержка софта для пентестера (дистры для пентеста не подходят по разным причинам), так и непосредственно сборки и конфигурация всяких hids/nids/integrity checkers/etc под продакшн тачки.

Ну и паблик релэйшн типа... багбаунти, вся херня.

Еще т.н. инцидент менеджмент: сводится к мониторингу и реагированию на всякие алярмы, исправлению, отчёту. Остальное берут на себя cso/юристы/в зависимости от.

Может чо забыл еще...

anonymous
()
Ответ на: комментарий от anonymous

Это самая нудная часть. Скукотища.

Cредства от скукотищи:

1. Пиздюли.

2. Проблемы.

Источник: социальная сеть ВКонтакте.

anonymous
()
Ответ на: комментарий от anonymous

Как человек, работающий пару лет в этой сфере, скажу тебе так: ХЗ что такое ИБ и что должен знать специалист.

Фигово быть тобой, скажу тебе, как человек, работающий в этой сфере лет десять.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Если ты специалист, скажи-ка, как ты будешь проводить аудит защищенности корпоративного сервера и IT-сервисов на нем. Вот по этапам. И самое главное - на чем ты основываться будешь. Пока все отвечали очень по-разному. С аргументами - никто. Отсебятина одна.

Macrocosm
()
Ответ на: комментарий от CaveRat

Может недостаток опыта? Вот дорасту до 10, и стану таким же самоуверенным говнюком как большинство ибэшников)

anonymous
()
Ответ на: комментарий от anonymous

Судя по твоему описанию рабочих обязанностей, тебя йузают в хвост и гриву на всех фронтах, не трудясь объяснить, что вообще происходит.

Вот поэтому ты пока еще такой самоуверенный говнюк :)

CaveRat ★★
()
Ответ на: комментарий от Macrocosm

Ни один ФЗ или ГОСТ не определяют требования к показателям защищенности.

Продолжать разговор смысла не вижу, ты не в теме от слова вообще.

CaveRat ★★
()
Последнее исправление: CaveRat (всего исправлений: 1)
Ответ на: комментарий от CaveRat

требования к аудиту

требования к показателям защищенности

Неплохо ты тезис подменил. Слишком примитивная демагогия пошла. Или ты серьезно считаешь, что аудит - показатели защищенности? Тогда твоей уровень понятен, «спец по ИБ» :)

Macrocosm
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.